Abstract— In this paper, the authors propose a
method for detecting IoT botnet malware based on
PSI graphs using Convolutional Neural Network
(CNN). Through analyzing the characteristics of
Botnet on IoT devices, the proposed method
construct the graph to show the relations between
PSIs, as input for the CNN neural network model.
Experimental results on the 10033 data set of ELF
files including 4002 IoT botnet malware samples
and 6031 benign files show Accuracy and F1-score
up to 98.1%.
8 trang |
Chia sẻ: thanhle95 | Lượt xem: 531 | Lượt tải: 0
Bạn đang xem nội dung tài liệu Phát hiện mã độc IoT botnet dựa trên đồ thị PSI với mô hình Skip-Gram, để tải tài liệu về máy bạn click vào nút DOWNLOAD ở trên
Nghiên cứu Khoa học và Công nghệ trong lĩnh vực An toàn thông tin
Số 1.CS (07) 2018 29
Ngô Quốc Dũng, Lê Văn Hoàng, Nguyễn Huy Trung
Tóm tắt— Trong à o này, n t c g
u t t p ng p p p t n c oT otn t
trên t (Printable String Information)
s ng ng n -ron t c c p (Convolutional
Neural Network - CNN). Thông qua vi c phân tích
ặc tính của Botnet trên các thiết b oT, p ng
p p u t y ng t ể t ể n c c ố
ên ết g ữ c c , à ầu vào c o ô n
ng n -ron NN p n p ết qu t c ng
trên ữ u t p t n L g u
c oT otn t và t p t n àn t n c o t y
p ng p p u t t c n c ccur cy
và o ên t i 98,1%.
Abstract— In this paper, the authors propose a
method for detecting IoT botnet malware based on
PSI graphs using Convolutional Neural Network
(CNN). Through analyzing the characteristics of
Botnet on IoT devices, the proposed method
construct the graph to show the relations between
PSIs, as input for the CNN neural network model.
Experimental results on the 10033 data set of ELF
files including 4002 IoT botnet malware samples
and 6031 benign files show Accuracy and F1-score
up to 98.1%.
Từ khóa— IoT botnet; t Printable String
Information (PSI) ; M ng n ron t c c p.
Keywords— IoT botnet; Printable String
Information graph; Convolutional Neural Network.
I. GIỚI THIỆU
Cuộc cách mạng công nghiệp 4.0 hay còn
đƣợc gọi với những cái tên nhƣ Internet vạn vật
(Internet of Things) hay công nghiệp Internet
(Industrial Internet) làm biến đổi nhanh chóng nền
công nghiệp ở mọi quốc gia, diễn ra trên toàn cầu.
Với nhiều tên gọi khác nhau nhƣng đặc điểm nổi
bật nhất của cuộc cách mạng công nghiệp lần thứ
4 đó là việc dịch chuyển các hệ thống máy móc
sản xuất truyền thống sang các hệ thống tự động
hoá có khả năng tự hành một cách thông minh dựa
trên nền tảng của điện tử viễn thông và công nghệ
thông tin. Dựa trên cuộc cách mạng công nghiệp
Bài báo đƣợc nhận ngày 4/10/2018. Bài báo đƣợc gửi phản
biện thứ nhất vào ngày 14/10/2018 và đƣợc chấp nhận đăng
vào ngày 5/12/2018. Bài báo đƣợc gửi phản biện thứ hai vào
ngày 15/10/2018 và đƣợc chấp nhận đăng vào ngày
02/12/2018.
4.0 mà giáo dục, y tế, chính trị, xã hội, kinh tế đã
có những thành tựu vƣợt bậc trong thời gian ngắn.
Bên cạnh những tiện ích mà cuộc cách mạng công
nghiệp 4.0 mang lại thì an toàn thông tin trên
không gian mạng ngày càng trở nên phức tạp,
tiềm ẩn nhiều nguy cơ ảnh hƣởng trực tiếp tới an
ninh quốc gia, tới lợi ích hợp pháp của ngƣời dân.
Những nguy cơ này ngày càng hiện hữu khi mà
các chuỗi cung ứng, nhà máy, ngƣời tiêu dùng và
các hoạt động liên quan đƣợc kết nối với nhau
thông qua các thiết bị IoT. Việc đảm bảo an ninh,
an toàn thông tin cho các thiết bị IoT đã và đang
thu h t nhiều nhà nghiên cứu và các tổ chức. Các
nghiên cứu, công trình công bố có thể chia
thành hai nhóm chính gồm: phân tích tĩnh và
phân tích động.
Phân tích động hay còn đƣợc gọi là phân
tích hành vi thực hiện việc giám sát toàn bộ
thiết bị hoặc các tập tin thực thi trong quá trình
hoạt động để phát hiện các hành vi bất thƣờng.
Theo hƣớng tiếp cận này, Celeda và cộng sự [1]
giới thiệu phƣơng pháp phát hiện mã độc Chuck
Norris Botnet trên các thiết bị mô-đem bị lây
nhiễm. Kết quả nghiên cứu cho thấy hầu hết mã
độc lây lan thông qua giao thức telnet do các
thiết bị sử dụng mật khẩu yếu hoặc mặc định
của nhà sản xuất. Tuy nhiên nghiên cứu này ch
áp dụng đƣợc trên kiến tr c MIPS. Để mở rộng
phạm vi nghiên cứu trên các kiến tr c vi xử lý
khác nhƣ ARM, PowerPC bộ công cụ QEMU
ngày càng đƣợc sử dụng rộng rãi. Trong [2],
Jonas và cộng sự đã xây dựng framework
Avatar để phân tích Firmware các thiết bị nh ng
b ng cách phối hợp quá trình thực thi của bộ mô
ph ng dựa trên QEMU với phần cứng thực tế.
B ng cách tiêm một phần mềm trung gian đặc
biệt vào thiết bị nh ng, Avatar thực thi các ch
thị firmware bên trong bộ mô ph ng trong khi
đang truyền các thực thi vào/ra tới thiết bị vật
lý. Tuy nhiên, quá trình thực thi mô ph ng
chậm hơn nhiều so với quá trình thực thi trên
thiết bị thực do việc đồng bộ tín hiệu thông
không các kênh UART và JTAG không đảm
bảo tốc độ truyền tin. Cùng hƣớng tiếp cận đó,
Yin Minn Pa Pa và cộng sự [3] đã phát triển IoT
Phát hiện mã độc IoT botnet dựa trên đồ thị
PSI với mô hình Skip-gram
Journal of Science and Technology on Information Security
30 Số 1.CS (07) 2018
honeypot để chặn bắt mã độc IoT dựa trên giao
thức telnet; và IoTBOX để phân tích mã độc
IoT đa kiến tr c CPU, nhƣng ch tập trung vào
phân tích các hành vi mạng. C ng dựa trên nền
tảng QEMU, Ahmad Darki và cộng sự [4] đã đề
xuất RARE – một hệ thống mô ph ng phân tích
mã độc và lƣu trữ tiểu sử các hành vi của mã
độc trên các bộ định tuyến dân dụng (SOHO).
Trong đó, RARE sử dụng phân tích tĩnh để cung
cấp các thông tin cho quá trình phân tích động
t đó tùy ch nh môi trƣờng mô ph ng gi p mã
độc có thể bộc lộ hết tất cả các hành vi độc hại,
kết quả đạt 94 các m u mã độc có thể kích
hoạt thành công. Tuy nhiên, đặc trƣng thu thập
qua phân tích tĩnh còn đơn giản (địa ch IP và
tên miền) và quá trình tƣơng tác giữa Bot và
C C chƣa đầy đủ khi chƣa thể tùy ch nh đƣợc
máy chủ C C. A.Jacobsson và cộng sự [5] tập
trung phát hiện các hành vi bất thƣờng của các
thiết bị IoT dân dụng. Chun-Jung Wu và cộng
sự [6] đã đề xuất IoTProtect có thể kiểm tra các
tiến trình chạy trên thiết bị IoT và d ng những
tiến trình không xác định theo một chu k nhất
định, IoTProtect có thể triển khai trên các thiết
bị thƣơng mại mà không cần ch nh sửa nhiều
firmware. Tuy nhiên, điểm yếu tồn tại của phân
tích động là ch cho ph p phân tích đơn luồng
và không thể quan sát tất cả các khả năng thực
thi của mã độc [7]. Đồng thời kiến tr c vi xử lý
của các thiết bị IoT rất đa dạng (MIPS, ARM,
PowerPC) nên yêu cầu về việc xây dựng môi
trƣờng thực thi đảm bảo cho các thiết bị IoT
hoạt động để thu thập dữ liệu làm đầu vào cho
quá trình phân tích là rất phức tạp.
Phân tích tĩnh [8] hay còn gọi là phân tích
dựa trên đặc trƣng bao gồm phân tích, phát hiện
mã độc và/hoặc lỗ hổng bảo mật trong mã
nguồn firmware hoặc các tập tin thực thi mà
không phải chạy ch ng. Hƣớng tiếp cận này sử
dụng những k thuật nhƣ đồ thị luồng điều
khiển (CFG – Control Flow Graph), đồ thị
luồng dữ liệu (DFG – Data Flow Graph), thực
thi biểu tƣợng (SE – Symbolic Execution) [9]
với các đặc trƣng thƣờng sử dụng để xác định
mã độc nhƣ API, Opcode, PSI (Printable String
Information), FLF (Function Length Frequency)
[10]. Phân tích tĩnh s gi p có một cách nhìn
tổng quan các khả năng có thể xảy ra trong tập
tin thực thi. Costin và cộng sự [11] đã đề xuất
một framework để thu thập, lọc, unpack và phân
tích tĩnh firmware quy mô rộng t đó phát hiện
lỗ hổng bảo mật, mã độc. Những nghiên cứu
trên ch sử dụng các đặc trƣng rời rạc mà không
đi vào sự tƣơng tác, liên quan giữa các đặc
trƣngTrong khi đó, mã độc IoT botnet luôn
có quy trình hoạt động khá tƣơng đồng nhau và
có sự tƣơng tác với nhau [12], [13]. Chính vì thế
trong bài báo này để tăng sự chính xác trong
phát hiện mã độc IoT botnet, nhóm tác giả sử
dụng đồ thị thể hiện sự liên kết giữa các đặc
trƣng đó. Tuy nhiên, hạn chế lớn nhất của
phƣơng pháp này là không phân tích đƣợc các
tập tin có độ phức tạp lớn hoặc sử dụng các k
thuật gây rối (obfuscation).
Bên cạnh việc sử dụng phân tích tĩnh và
phân tích động với học máy, phƣơng pháp học
sâu đƣợc sử dụng trong phân tích và phát hiện
mã độc đem lại kết quả khả quan trong những
năm gần đây. Yuan và cộng sự sử dụng hơn 200
đặc trƣng t quá trình phân tích tĩnh động làm
đầu vào cho mạng học sâu DBN cho ph p đạt
đƣợc độ chính xác lên tới 96 trong việc phân
loại mã độc và tệp tin lành tính [14]. Saxe và
Berlin [15] đề xuất mô hình dựa trên mạng nơ-
ron truyền th ng để trích xuất các đặc trƣng t
hơn 40,000 tập tin nhị phân ứng dụng Windows,
kết quả đạt đƣợc độ chính xác 95 với t lệ
dƣơng tính giả (false positive rate) là 0,1 .
Nghiên cứu của Hamed và cộng sự [16] đã đề
xuất giải pháp sử dụng cấu tr c LSTM với RNN
(Recurrent Neural Network) trong phát hiện mã
độc trên thiết bị IoT dựa trên đặc trƣng OpCode
trích xuất t các ứng dụng thực thi nền tảng
ARM, độ chính xác đạt 98 . Tuy nhiên các
nghiên cứu này mới áp dụng phƣơng pháp học
sâu vào phân tích dữ liệu thu thập đƣợc t quá
trình hoạt động của hệ thống, mà chƣa khai thác
những đặc thù của mã độc Botnet, lớp mã độc
phổ biến nhất trên các thiết bị IoT.
Trong bài báo này, nhóm tác giả đề xuất sử
dụng mạng nơ-ron tích chập (Convolutional
Neural Network) để phát hiện mã độc Botnet
dựa trên các đặc trƣng trích xuất t đồ thị PSI.
Đóng góp chính của bài báo là:
Đề xuất thuật toán sinh đồ thị PSI t các
tập tin nhị phân của mã độc IoT botnet.
Đề xuất mạng nơ-ron tích chập trong việc
gán nhãn mã độc và tập tin lành tính với độ
chính xác, c ng nhƣ độ đo F1 lên tới 98 .
Phần còn lại của bài báo đƣợc cấu tr c nhƣ
sau: Mục II giải thích chi tiết giải pháp đề xuất.
Mục III s thảo luận triển khai thử nghiệm và tập
Nghiên cứu Khoa học và Công nghệ trong lĩnh vực An toàn thông tin
Số 1.CS (07) 2018 31
dữ liệu đƣợc sử dụng. Cuối cùng, Mục IV là
trình bày kết quả và định hƣớng nghiên cứu.
II. PHƢƠNG PHÁP ĐỀ XUẤT
Trong phần này, nhóm tác giả s giới thiệu
các bƣớc thực hiện chính trong mô hình tổng
quan. Sau đó đi vào trình bày chi tiết các bƣớc
sinh đồ thị PSI t đồ thị CFG. Với kết quả thu
đƣợc s tiến hành tiền xử lý thông qua mô
hình skip-gram để chuyển đổi đồ thì PSI
thành các biểu diễn vector. Cuối cùng là áp
dụng mô hình mạng CNN để phân lớp tập tin
mã độc và lành tính.
A. ng uan ô h nh u t
Dựa trên những công bố [13, 17, 18], nhóm
tác giả thấy r ng các đặc trƣng cơ bản của mã
độc IoT botnet thƣờng diễn ra theo một quy
trình, cụ thể các bƣớc là:
1. Cố gắng kết nối/nhận t /đến máy chủ
C C ở xa thông qua địa ch IP hoặc URL.
2. Cố gắng khai thác các thiết bị IoT b ng
cách liên tục dò qu t ng u nhiên địa ch IP và
thực hiện tấn công v t cạn thông qua các dịch
vụ Telnet, SSH, FTP với một bộ t điển nh ng
s n trong tập tin (ví dụ root/root, adim/root,
admin/123, ).
3. Cố gắng phân tích kiến tr c phần cứng
của thiết bị IoT và tải về các tập tin nhị phân mã
độc cần thiết (MIPS, ARM, PowerPC,) với
đoạn mã kịch bản thông qua giao thức wget,
TFTP để lây nhiễm trên các thiết bị.
4. Cố gắng tìm kiếm các loại mã độc khác
trên thiết bị để hủy hoặc xóa ch ng ngay khi lây
nhiễm thành công để đảm bảo tài nguyên bởi
các thiết bị IoT là những thiết bị có tài nguyên
hạn h p (ví dụ Mirai tìm và hủy các tiến trình
của mã độc .anime và Qbot).
5. Cố gắng chạy trên bộ nhớ của các thiết bị
IoT sau đó s tạm d ng hoạt động cho đến khi
nhận đƣợc lệnh t k tấn công.
Một điều quan trọng ở đây là mã độc IoT
Botnet thƣờng có quy trình thực hiện các bƣớc
theo trình tự và hầu hết trong đó yêu cầu các
thông tin quan trọng nhƣ địa ch IP, URL, tên
miền, đƣợc gọi là PSI. PSI là một trong
những đặc trƣng thƣờng đƣợc sử dụng trong
phân tích tĩnh nhƣ [10, 19] để xác định một tập
tin ELF là mã độc hay không. Bởi trong nghiên
cứu [11] đã cho thấy có rất nhiều hệ điều hành
đƣợc sử dụng trên các thiết bị IoT nhƣ Linux,
Windows CE, VXWorks, rtems nhƣng sự phổ
biến của các thiết bị IoT dựa trên nền tảng
Linux là hơn cả, vì thế trong bài báo này nhóm
tác giả sử dụng các tập tin thực thi trên nền tảng
Linux là ELF là dữ liệu để thử nghiệm tính
đ ng đắn của phƣơng pháp đề xuất.
Tuy nhiên những phƣơng pháp đó thƣờng
tập trung vào việc kết hợp các đặc trƣng, ví dụ
nhƣ kết hợp tần suất xuất hiện của PSI với FLF
(Function Length Frequency), việc kết hợp các
đặc trƣng gi p cải thiện độ chính xác của bộ
phân lớp học máy. Tuy nhiên, những hƣớng tiếp
cận đó không phân tích sự liên kết giữa các PSI,
không xem x t đến ngữ cảnh của PSI mặc dù nó
biểu diễn chuỗi thông tin mang tính trình tự và
lặp lại trong tất cả các mã độc Botnet. Để cải
thiện độ chính xác trong phát hiện mã độc dựa
trên phân tích PSI, nhóm tác giả đề xuất hƣớng
tiếp cận kết hợp giữa đồ thị PSI và mạng nơ-ron
tích chập CNN. Tổng quan phƣơng pháp đề
xuất đƣợc trình bày ở Hình 1, gồm 4 bƣớc sau:
Sinh đồ thị luồng điều khiển CFG: sử
dụng công cụ IDA pro để trích xuất đồ thị CFG.
Bởi IDA (Interactive Disassembler) là công cụ
phân tách có khả năng thực hiện dịch ngƣợc và
tự động phân tích các ứng dụng nhị phân sử
dụng tham chiếu chiếu giữa các vùng mã, ngăn
xếp API call và các thông tin khác.
Sinh đồ thị PSI: nhóm tác giả xây dựng
công cụ plugin IDA pro để tự động trích xuất đồ
thị PSI t CFG.
Hình 1. Tổng quan mô hình đề xuất
Journal of Science and Technology on Information Security
32 Số 1.CS (07) 2018
Tiền xử lý dữ liệu: mục đích bƣớc này
nh m chuyển đổi tất cả định dạng đồ thị PSI
thành dạng danh sách kề phù hợp với bộ phân
lớp CNN.
Bộ phân lớp CNN: ở bƣớc này, nhóm tác
giả đề xuất một mạng nơ-ron tích chập có chức
năng phân loại tập dữ liệu đầu vào là mã độc
hay lành tính.
B. inh th
Trong phạm vi khuôn khổ bài báo, nhóm tác
giả đƣa ra một số định nghĩa sau:
n ng Đồ thị CFG là một đồ thị có
hƣớng, G (V, E) trog đó V là tập các đ nh { ,
, , và E là tập các cạnh có hƣớng
{ , , với = ( là cạnh nối t
đ nh tới đ nh . Trong đó, mỗi đ nh biểu
diễn bởi một khối mã lệnh cơ bản (basic block)
là chuỗi tuyến tính các ch thị chƣơng trình với
một điểm đầu vào và duy nhất một điểm đầu ra.
Để giải quyết vấn đề các tập lệnh đa kiến
tr c trên các thiết bị IoT nhƣ ARM, MIPS,
PowerPC, SPARC, công cụ IDA Pro đƣợc
nhóm tác giả lựa chọn để sinh CFG. Tuy nhiên,
đồ thị CFG thu đƣợc luôn có cấu tr c phức tạp
và sự liên kết giữa các giá trị dạng chuỗi trong
các hàm của tập tin nhị phân đầu vào khó quan
sát, đồng thời việc áp dụng các k thuật học
sâu c ng mất nhiều thời gian. Chính vì vậy,
nhóm tác giả sử dụng đồ thị PSI thay vì sử
dụng đồ thị CFG.
n ng 2: Đồ thị PSI là một đồ thị có
hƣớng G (V, E) mà:
- V là tập các đ nh đƣợc xây dựng bởi các
phần tử PSI
- E là tập các cạnh biểu diễn sự liên kết giữa
các đ nh trong đồ thị
T u t to n 1: PSI-graph generation (CFG)
1: V = [ ], E = [ ]
2: PSI-graph = (V, E)
3: For each in CFG do
4: For each psi in do
5: V = V ∪
6: End for
7: For each connect to do
8: For each psi in do
9: E = E ∪ { edge ( , ) }
10: End for
11: End for
12: End for
13: Return PSI-graph
Đồ thị PSI đƣợc xây dựng dựa trên tập đ nh
V và cạnh E, trong đó tập đ nh V gồm các đ nh
đƣợc lựa chọn t đồ thị luồng điều khiển của tập
tin nhị phân ELF. Với mỗi đ nh nodei trong đồ
thị CFG, nếu xuất hiện PSI trong nodei thì s
đƣa đ nh nodei vào tập V. Sau đó, trong đồ thị
CFG s thực hiện tìm kiếm các đ nh nodej có
liên kết với nodei. Cạnh liên kết giữa các đ nh
đó s đƣợc đƣa vào trong tập E. Thuật toán
dùng lại khi không tìm đƣợc thêm đƣợc đ nh và
cạnh nào th a mãn nữa.
- Sinh đồ thị PSI: PSI là tập các chuỗi có
định dạng tƣờng minh và mã hóa. Những chuỗi
này phản ảnh mục đích của k tấn công và mục
tiêu mong muốn bởi ch ng thƣờng chứa thông
tin quan trọng, ví dụ nhƣ /dev/watchdog;
/dev/misc/watchdog thƣờng xuất hiện trong mã
độc Linux.Mirai để nói r ng Botnet đang cố
gắng ngăn chặn tiến trình khởi động lại trên
thiết bị. Tuy nhiên, hầu hết các chuỗi đƣợc
trích xuất ra lại bị mã hóa hoặc gây rối. Thuật
toán sinh đồ thị PSI đƣợc giới thiệu thông qua
thuật toán 1.
C. i n l và chu n h a liệu
Với dữ liệu là đồ thị PSI thu thập đƣợc t
việc phân tích các tệp tin nhị phân nên việc
chuyển đổi sang dữ liệu số làm đầu vào cho quá
trình huấn luyện với mạng nơ-ron sâu là cần
thiết. Các đồ thị PSI là một tập các chuỗi ký tự
theo một trật tự nhất định tƣơng ứng với đồ thị
thu đƣợc. Nhóm tác giả nhận thấy có nhiều
điểm tƣơng đồng giữa đồ thị PSI với cấu tr c
của một câu văn sử dụng ngôn ngữ tự nhiên. Sự
tƣơng đồng này thể hiện qua việc cả hai đều là
một tập các chuỗi ký tự và theo một cấu tr c
nhất định để mang đến một mục tiêu, ý nghĩa cụ
thể. T đó, nhóm tác giả sử dụng phƣơng pháp
word2vec mà cụ thể là k thuật Skip-gram [20]
để chuyển đổi các đồ thị PSI thành các vec tơ số.
Skip-gram là mô hình dự đoán các t theo
t ng ngữ cảnh dựa trên các t mục tiêu phù hợp
với đầu vào là các PSI trong các tập tin nhị phân
mã độc. Trong bài báo này, nhóm tác giả xây
dựng dựa trên ý tƣởng xem cả đồ thị nhƣ một
văn bản và mỗi đồ thị con có gốc xung quanh
mỗi đ nh của đồ thị đƣợc xem nhƣ các t xây
Nghiên cứu Khoa học và Công nghệ trong lĩnh vực An toàn thông tin
Số 1.CS (07) 2018 33
dựng lên văn bản và đƣa văn bản nh ng vào
mạng nơ-ron để học cách biểu diễn toàn bộ đồ thị.
Hình 2. Kiến tr c mô hình skip-gram
Trong Hình 2, đầu vào mô hình là và đầu
ra là , , bởi kích thƣớc cửa sổ sử
dụng trong bài báo là 2, điều đó do lớp đầu ra
phụ thuộc vào kích thƣớc cửa sổ. Đối với cửa sổ
kích thƣớc 2 thì s đoán 02 t bên trái và 02 t
bên phải t mục tiêu. Do đó mạng s có đầu ra
là vector 4 chiều. Kích thƣớc của lớp ẩn tƣơng
ứng với V*E trong đó V là kích thƣớc của t
vựng và E là kích thƣớc nh ng.
Công thức tính toán của Skip-gram đƣa ra
chuỗi các t , với mục đích huấn
luyện là tối đa xác xuất logarit trung bình của
việc dự đoán các t ngữ cảnh , ,
xuất hiện gần t ngữ cảnh đƣợc tính nhƣ sau:
∑ ∑
Trong đó là t mục tiêu và là các
t ngữ cảnh trong cửa sổ có kích thƣớc c,
biểu diễn xác xuất xuất hiện
trong láng giềng của và đƣợc tính bởi
công thức:
(
)
∑ (
)
Trong và
biểu diễn vector đầu vào và
đầu ra của các t trong t vựng và W là số
lƣợng t trong t vựng.
Bên cạnh đó, mô hình mạng không thể xử lý
với đầu vào là các t hay các PSI vì thế quá
trình tiền xử lý tại Hình 1 chính là việc biểu
diễn các t dƣới dạng vector. Để thực hiện việc
này, nhóm tác giả xây dựng một bộ t vựng các
t tập huấn luyện (tức là tập các PSI riêng biệt).
D. Ki n tr c ng n -ron
Kiến tr c mạng nơ-ron nhóm tác giả đề xuất
dựa trên mạng CNN của [21]. Mô hình mạng
gồm 01 lớp đầu vào, 6 lớp ẩn và 01 lớp đầu ra.
Trong đó 02 lớp tích chập đầu tiên có kích
thƣớc bộ lọc là 7x7 và 4 lớp tích chập còn lại có
kích thƣớc bộ lọc là 3x3. Để phân tách các lớp
tích chập, ngay sau mỗi lớp tích chập 1D, nhóm
tác giả sử dụng hàm ReLU (Rectified Linear
Units) thay vì sử dụng hàm tanh hoặc sigmoid
vì hàm ReLU có tốc độ xử lý nhanh hơn, có thể
giảm độ phức tạp trong tính toán và tránh tình
trạng triệt tiêu đạo hàm (vanishing gradien).
Ngay sau hàm ReLU của 2 lớp tích chập đầu
tiên, nhóm tác giả c ng sử dụng lớp Max
Pooling có kích thƣớc 3x3 thay vì các lớp
Pooling khác, tức là s thực hiện lấy giá trị lớn
nhất trong một phân vùng con hoặc cửa sổ trƣợt
pooling windows, điều này góp phần làm tăng
sự phi tuyến bên trong mạng và tạo nên không
gian đặc trƣng cao cho mỗi đồ thị PSI s tách
bạch hơn. Trong phạm vi bài báo này, nhóm tác
giả sử dụng hàm mất mát cross-entropy để tối
ƣu mạng nơ-ron.
Sau khi áp dụng các lớp mạng trên, kết quả
thu đƣợc là một mảng vector 6 chiều. Để
chuyển đổi những vector đó vào một lớp xác
xuất thì cần chuyển đổi những vector đó thành
một lớp đơn 1 chiều, đƣợc gọi là lớp kết nối đầy
đủ (fully connected layers). Đầu ra mong muốn
s là mã độc hoặc lành tính.
Journal of Science and Technology on Information Security
34 Số 1.CS (07) 2018
Hình 3. Kiến tr c triển khai mạng Deep Neural
Network cho giải pháp đề xuất
III. THỰC NGHIỆM VÀ ĐÁNH GIÁ
Phần này miêu tả cấu hình môi trƣờng và
đánh giá kết quả kiểm thử. Để thực nghiệm,
nhóm tác giả sử dụng máy tính chip Intel Core
i5-850, 3.00 GHz với bộ nhớ RAM 16GB và
Nvidia GPU GTX 1070Ti 8GB. Tập dữ liệu
phục vụ quá trình huấn luyện gồm 4002 tập tin
mã độc thu thậ